【正文】 （三）信息科技部應(yīng)提出。具體要求如下： （一）項(xiàng)目承建單位（部室）應(yīng)組織制定安全測(cè)試方案，進(jìn)行系統(tǒng)上線前的自測(cè)試并形成測(cè)試報(bào)告，報(bào)信息科技部審查。 第六十八條系統(tǒng)上線前應(yīng)開(kāi)展代碼審計(jì)過(guò)程檢查源代碼中的缺點(diǎn)和錯(cuò)誤信息，避免引發(fā)安全漏洞。 第六十六條信息系統(tǒng)開(kāi)發(fā)、測(cè)試、修改工作不得在生產(chǎn)環(huán) — 11— 境中進(jìn)行。外部開(kāi)發(fā)單位還應(yīng)與本行簽署相關(guān)知識(shí)產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開(kāi)。 第二節(jié)信息系統(tǒng)開(kāi)發(fā)與集成 第六十三條信息系統(tǒng)開(kāi)發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進(jìn)行安全設(shè)計(jì)，保證安全功能的完整實(shí)現(xiàn)。 （三）運(yùn)行平臺(tái)的安全策略與設(shè)計(jì)。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容： （一）業(yè)務(wù)需求部室提出的安全需求。 —— 10 第六十條信息系統(tǒng)安全管理實(shí)施細(xì)則詳見(jiàn)《 XX 銀行計(jì)算機(jī)信息系統(tǒng)安全管理規(guī)定》。 第五十八條訪問(wèn)控制實(shí)施細(xì)則詳見(jiàn)《 XX 銀行信息系統(tǒng)訪問(wèn)控制管理規(guī)定》。 第五十七條對(duì)應(yīng)用系統(tǒng)和信息的邏輯訪問(wèn)應(yīng)只限于已授權(quán)的用戶。未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，不得代 — 9— 崗、兼崗。重要信息系統(tǒng)操作人員的密碼應(yīng)由系統(tǒng)管理員和業(yè)務(wù)部門(mén)負(fù)責(zé)人分段設(shè)立。 第五十三條信息資產(chǎn)的責(zé)任人負(fù)責(zé)確定信息資產(chǎn)和服務(wù)的訪問(wèn)權(quán)限，運(yùn)行維護(hù)科根據(jù)授權(quán)進(jìn)行相關(guān)設(shè)定操作。 第五十一條使用國(guó)際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國(guó)家有關(guān)法律法規(guī)和本行相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動(dòng)。 第五十條曾接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)嚴(yán)禁接入內(nèi)部網(wǎng)絡(luò)，確有必要接入內(nèi)部網(wǎng)絡(luò)的應(yīng)通過(guò)安全工作小組審核并上報(bào)相關(guān)領(lǐng)導(dǎo)審批，經(jīng)安全檢測(cè)后方能接入。 — 8— 第四十九條內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)嚴(yán)禁接入國(guó)際互聯(lián)網(wǎng)，確有必要接入國(guó)際互聯(lián)網(wǎng)的應(yīng)通過(guò)信息安全工作小組審核并上報(bào)相關(guān)領(lǐng)導(dǎo)審批，確保安裝有指定的防病毒軟件和最新補(bǔ)丁程序。 第四十八條本行內(nèi)部業(yè)務(wù)網(wǎng)、辦公網(wǎng)與國(guó)際互聯(lián)網(wǎng)實(shí)行安全隔離。未經(jīng)授權(quán)， 任何外部單位與人員不得檢測(cè)、掃描本行網(wǎng)絡(luò)。 第四十六條信息安全管理人員負(fù)責(zé)定期對(duì)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)、掃描和評(píng)估。 第四十五條嚴(yán)格遠(yuǎn)程訪問(wèn)控制。網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配臵和服務(wù)端口時(shí)，應(yīng)嚴(yán)格遵循變更管理流程。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過(guò)網(wǎng)絡(luò)管理人員的審核與檢測(cè)，審核（檢測(cè)）通過(guò)后方可接入并分配相應(yīng)的網(wǎng) 絡(luò)資源。 — 7— 第四十二條網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)技能。 第二節(jié)網(wǎng)絡(luò)運(yùn)行安全管理 第四十一條信息科技部應(yīng)建立健全網(wǎng)絡(luò)安全運(yùn)行方面的制度，配備專職網(wǎng)絡(luò)管理員。 （三）針對(duì)不同的網(wǎng)絡(luò)安全域，采取必要的安全隔離措施。 第四十條本行網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求： （一）網(wǎng)絡(luò)規(guī)劃應(yīng)有完整的安全策略，保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。 第六章網(wǎng)絡(luò)安全管理 第一節(jié)網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全管理 第三十八條本行網(wǎng)絡(luò)信息科技部負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配臵和 網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、 IP 地址和域名等）分配。 第三十六條本行信息中心員工應(yīng)在公共接待區(qū)接待外來(lái)人 — 6—員，未經(jīng)允許，不得私自將外來(lái)人員帶入辦公區(qū)域內(nèi)。 第三節(jié)辦公環(huán)境安全管理 第三十四條在本行大樓入口應(yīng) 設(shè)臵門(mén)衛(wèi)或接待員，負(fù)責(zé)出入或公共訪問(wèn)區(qū)域的物理安全管理和外來(lái)人員的出入登記。 第三十二條重要區(qū)域應(yīng)嚴(yán)格出入安全管理，安裝門(mén)禁、視頻監(jiān)視錄像系統(tǒng)，實(shí)行定時(shí)錄像監(jiān)控，并適當(dāng)配臵自動(dòng)監(jiān)控報(bào)警功能。 第二節(jié)重要區(qū)域安全管理 第三十一條本章節(jié)所指重要區(qū)域?yàn)椋罕拘行畔⒅行闹鱾錂C(jī)房和運(yùn)維監(jiān)控室等區(qū)域。 第二十九條依據(jù)《浙江省農(nóng)村合作金融機(jī)構(gòu)機(jī)房管理指引》進(jìn)一步規(guī)范機(jī)房建設(shè)、改造和驗(yàn)收過(guò)程，落實(shí)機(jī)房管理。 第二十八條建立機(jī)房定期維修保養(yǎng)制度。機(jī)房管理員應(yīng)經(jīng)過(guò)相關(guān)專業(yè)培訓(xùn)，熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機(jī)房，發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)告。 第二十六條建立機(jī)房設(shè)施與場(chǎng)地環(huán)境監(jiān)控系統(tǒng)，對(duì)機(jī)房空調(diào)、消防、不間斷電源（ UPS）、供配電、門(mén)禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控。 第五章物理環(huán)境安全管理第一節(jié)機(jī)房安全管理 第二十四條本規(guī)定所稱機(jī)房是指信息系統(tǒng)主要設(shè)備放臵、運(yùn)行的場(chǎng)所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。 第二十二條依照信息資產(chǎn)的分類分級(jí)采取不同的安全保護(hù)措施，制定完善的訪問(wèn)控制策略，防止未經(jīng)授權(quán)的使用。細(xì)則參見(jiàn)《 XX銀行信息資產(chǎn)分類分級(jí)管理規(guī)定》。 （四）未經(jīng)信息安全管理人員檢測(cè)和授權(quán)，不得將內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)轉(zhuǎn)接入國(guó)際互聯(lián)網(wǎng)；不得將個(gè)人計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò)或私自拷貝任何信息。 （二）不得安裝與辦公和業(yè)務(wù)處理無(wú)關(guān)的其他計(jì)算機(jī)軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配臵以屏蔽信息安全防護(hù)。 第三節(jié)一般計(jì)算機(jī)用戶 第十八條本規(guī)定所 稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備的所有人員。提供技術(shù)服務(wù)期間，嚴(yán)格遵守本行相關(guān)安全規(guī)定與操作規(guī)程。 （四）嚴(yán)格操作管理、測(cè)試管理、應(yīng)急管理、配臵管理、變更管理、檔案管理等工作制度，做好數(shù)據(jù)備份工作。 （二）嚴(yán)格權(quán)限訪問(wèn)，未經(jīng)業(yè)務(wù)主管部室授權(quán)不得擅自改變系統(tǒng)設(shè)臵或修改系統(tǒng)生成的任何數(shù)據(jù)。 第二節(jié)技術(shù)支持人員 第十五條本辦法所稱技術(shù)支持人員，是指參與本行網(wǎng)絡(luò)、信息系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。 （二）負(fù)責(zé)提出本行信息安 全保障需求。 （五）定期組織信息安全宣傳教育活動(dòng)，開(kāi)展信息安全檢查、評(píng)估與培訓(xùn)工作。 （三）定期監(jiān)督網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況，檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問(wèn)題，及時(shí)通報(bào)和預(yù)警，并提出整改意見(jiàn)。 第十三條安全工作小組在如下職責(zé)范圍內(nèi)開(kāi)展信息安全管理工作： （一）組織落實(shí)上級(jí)信息安全管理規(guī)定，制定信息安全管理制度，協(xié)調(diào)信息安全領(lǐng)導(dǎo)小組成員工作，監(jiān)督檢查信息安全管理工作。凡是因違反國(guó)家法律法規(guī)和本行有關(guān)規(guī)定受到過(guò)處罰或處分的人員，不得從事此項(xiàng)工作。 第一節(jié)信息安全管理人員 第十條本辦法所指信息安全管理人員包括本行信息安全領(lǐng)導(dǎo)小組和信息安全工作小組成員。 第三章人員管理 第九條本行所有工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)。 第七條本行應(yīng)建立與信息安全監(jiān)管機(jī)構(gòu)的聯(lián)系，及時(shí)報(bào)告各類信息安全事件并獲取專業(yè)支持。 第二章組織保障 第五條常設(shè)由本行領(lǐng)導(dǎo)、各部室負(fù)責(zé)人及信息安全員組成的信息安全領(lǐng)導(dǎo)小組，負(fù)責(zé)本行信息安全管理工作，決策信息安全重大事宜。 第四條本辦法適用于本行。 第三條本行信息安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)和分級(jí)管理 ，由分管領(lǐng)導(dǎo)負(fù)責(zé)。 第五篇：商業(yè)銀行信息安全管理辦 法 XX 銀行 信息安全管理辦法 第一章總則 第一條為加強(qiáng) XX 銀行（下稱“本行”）信息安全管理，防范信息技術(shù)風(fēng)險(xiǎn)，保障本行計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運(yùn)行，根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等，特制定本辦法。 冠群金辰的承影漏洞掃描系統(tǒng)可以掃描各個(gè)計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備，及時(shí)發(fā)現(xiàn)存在的安全漏洞，并且事先做出預(yù)防措施，是主動(dòng)防御體系中不可或缺的一部分。冠群金辰公司作為國(guó)內(nèi)防病毒軟件廠商的先驅(qū)，其 KILL 防病毒系統(tǒng)已經(jīng)在全國(guó)各行業(yè)廣泛應(yīng)用，尤其是網(wǎng)絡(luò)防病毒系統(tǒng)更是國(guó)內(nèi)廠商的佼佼者。通過(guò)建立 PKI/CA 認(rèn)證系統(tǒng)，可以確保各種人員、資源的身份，防止網(wǎng)絡(luò)欺詐行為和交易抵賴行為。該方案已經(jīng)在全球著名銀行，如花旗銀行的系統(tǒng)中廣泛采用。在最壞的情況下，即使入侵者已經(jīng)獲得了被攻擊服務(wù)器的管理員賬戶和密碼，龍淵服務(wù)器核心防護(hù)仍然能夠保證該入侵者僅僅具有一個(gè)該系統(tǒng)上普通用戶的權(quán)限，不能為所欲為，造成更大的損失和影響。這種防范措施對(duì)于 Windows平臺(tái)和 UNIX、 Linux平臺(tái)都適用，并且不依賴特征庫(kù)的升級(jí)即可完成防范功能。這樣，所有人員的動(dòng)作都能夠被互相監(jiān)督，大大降低了內(nèi)部人員作案的可能性。它能夠?qū)⒋蟛糠稚逃貌僮飨到y(tǒng)的安全等級(jí)提升到 TCSECB1 級(jí)，支持強(qiáng)制訪問(wèn)控制，在大幅度提升安全性的同時(shí)保護(hù)了用戶原有投資。如果采用專用的安全操作系統(tǒng)，勢(shì)必需要對(duì)原有的應(yīng)用程序進(jìn)行改造，造成大量人力物力和財(cái)力的資源浪費(fèi)。在人民銀行發(fā)布的《銀行計(jì)算機(jī)信息系統(tǒng)安全技術(shù)規(guī)范》中也明確了這一點(diǎn)。 安全級(jí)別提升和分散授權(quán)原則在操作系統(tǒng)級(jí)的實(shí)施 操作系統(tǒng)的安全是銀行信息系統(tǒng)安全的重要方面。這樣在銀行網(wǎng)絡(luò)中發(fā)生入侵行為或蠕蟲(chóng)傳播時(shí)，管理員能夠很快定位網(wǎng)絡(luò)和系統(tǒng)問(wèn)題所在，減少故障時(shí)間，降低損失。對(duì)于這兩種行為我們都要進(jìn)行嚴(yán)格監(jiān)控，并且需要統(tǒng)一在一個(gè)平臺(tái)下進(jìn)行關(guān)聯(lián)監(jiān)控，以更好的起到安全檢測(cè)的目的。 網(wǎng)絡(luò)入侵行為和蠕蟲(chóng)病毒的傳播監(jiān)控 網(wǎng)絡(luò)攻擊的表現(xiàn)形式主要有兩種：第一，人為入侵（包括內(nèi)部和外部）；第二，蠕蟲(chóng)和病毒的網(wǎng)絡(luò)滲透和傳播。冠群金辰公司的軒轅防火墻內(nèi)置了基于 IPSEC 協(xié)議的 VPN 功能，能夠方便地在網(wǎng)絡(luò)邊界處實(shí)現(xiàn)數(shù)據(jù)的加密傳輸，方便了銀行不同分支部門(mén)之間的安全通信和遠(yuǎn)程辦公。通過(guò)在銀行內(nèi)部、銀行和第三方網(wǎng)絡(luò)等網(wǎng)關(guān)處部署該產(chǎn)品，可以杜絕病毒最主要的傳播途徑，給被保護(hù)網(wǎng)絡(luò)營(yíng)造一個(gè)安全的計(jì)算環(huán)境。它能夠高效率地過(guò)濾包含在 HTTP、 FTP 以及SMTP 協(xié)議中的計(jì)算機(jī)病毒，實(shí)現(xiàn)病毒的網(wǎng)絡(luò)隔離，避免病毒在網(wǎng)絡(luò)之間的擴(kuò)散。軒轅防火墻產(chǎn)品能夠滿足銀行 系統(tǒng)中大部分的網(wǎng)絡(luò)邏輯隔離要求。冠群金辰公司的 軒轅防火墻是集防火墻、 VPN、流量管理等功能于一體的網(wǎng)絡(luò)安全設(shè)備。除了物理隔離外，邏輯隔離按照通訊方式有幾種級(jí)別：雙方網(wǎng)絡(luò)互有通訊、單向通訊、按需通訊等。正在蓬勃興起的銀行中間業(yè)務(wù)的發(fā)展更是促進(jìn)了不同行業(yè)之間的網(wǎng)絡(luò)連通。 網(wǎng)絡(luò)互連的隔離和網(wǎng)關(guān)病毒過(guò)濾 隨著銀行業(yè)務(wù)的發(fā)展，業(yè)務(wù)主機(jī)不可避免地需要和外部系統(tǒng)互聯(lián)。同城異地備份甚至不同城市之間的災(zāi)備中心都是需要考慮的。計(jì)算機(jī)設(shè)備實(shí)體安全類中，首先要求場(chǎng)地環(huán)境條件的控制，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的中心機(jī)房及其延伸點(diǎn)，要堅(jiān)決搞好基本環(huán)境建設(shè)，要有完整的防雷電設(shè)施，且有嚴(yán)格的防電磁干擾設(shè)施，機(jī)房?jī)?nèi)要搞好防水防火的預(yù)防工作，對(duì)主機(jī)房電源要有完整的雙回路備份機(jī)制。這里僅僅根據(jù)中國(guó)人民銀行 2021 年發(fā)布的《 銀行信息系統(tǒng)安全技術(shù)規(guī)范》和中國(guó)人民銀行 2021 年發(fā)布的關(guān)于加強(qiáng)銀行數(shù)據(jù)集中安全工作的指導(dǎo)意見(jiàn)的 260 號(hào)文件，對(duì)于構(gòu)成銀行信息 系統(tǒng)的幾個(gè)關(guān)鍵層次進(jìn)行示例分析，主要從技術(shù)角度對(duì)冠群金辰的解決方案進(jìn)行簡(jiǎn)單介紹。冠群金辰公司擁有一支持有 CCIE、 CISSP、BS7799LA、 CISP、 SCSA 等國(guó)際國(guó)內(nèi)認(rèn)證的專業(yè)安全服務(wù)隊(duì)伍和專職的銀行業(yè)務(wù)顧問(wèn)小組，提供基于整體和業(yè)務(wù)的安全服務(wù)。 冠群金辰公司的銀行業(yè)信息安全風(fēng)險(xiǎn)管理方案主要分為下面幾個(gè)部分： 第一，參照相關(guān)法律法規(guī)、金融行業(yè)相關(guān)規(guī)定、國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)等，為用戶建立一套信息安全管理系統(tǒng)和業(yè)務(wù)持續(xù)性策略； 第二，根據(jù)業(yè)務(wù)系統(tǒng)的需要，進(jìn)行安全技術(shù)層面的實(shí)施，其中包括對(duì)銀行現(xiàn)有設(shè)備和系統(tǒng)的加固、自有安全產(chǎn)品配置和實(shí)施、第三方安全產(chǎn)品配置和實(shí)施以及根據(jù)實(shí)際需求進(jìn)行的專有安全系統(tǒng) 開(kāi)發(fā)和實(shí)施等。不同系統(tǒng)，各階段的安全需求不同，安全工 作展開(kāi)的順序也會(huì)有所不同。根據(jù)銀行業(yè)務(wù)系統(tǒng)各自的特點(diǎn)，其各階段的具體內(nèi)容會(huì)有所不同，但基本周期保持不變。對(duì)于每一個(gè)銀行業(yè)務(wù)系統(tǒng)，比如柜臺(tái)業(yè)務(wù)、資金清算等 隨著時(shí)間的發(fā)展都可以分為不同的階段。同樣，在銀行的信息安全領(lǐng)域也需要一種成熟的風(fēng)險(xiǎn)管理思路。 2021年 4月底正式掛牌的中國(guó)銀監(jiān)會(huì) 5月份以第二號(hào)公告的形式，就巴塞爾新資本協(xié)議公開(kāi)征求中國(guó)銀行業(yè)界意見(jiàn)。 第一：在整個(gè)受保護(hù)網(wǎng)絡(luò)環(huán)境中的每一個(gè)環(huán)節(jié)上減少可能會(huì)被入侵者利用的突出的脆弱點(diǎn)； 第二：對(duì)于關(guān)鍵的資源，使用多重防御策略來(lái)管理風(fēng)險(xiǎn)，以便在一層防 御不夠時(shí)，在理想情況下，另一層防御將會(huì)削弱對(duì)被保護(hù)資源的破壞。脆弱性三維圖可以幫助客戶識(shí)別風(fēng)險(xiǎn)狀況，選擇采用適當(dāng)有效的風(fēng)險(xiǎn)控制方法，達(dá)到成本和效益之間的平衡。 經(jīng)過(guò)對(duì)信息安全趨勢(shì)的分析，我們認(rèn)為在當(dāng)前新的安全漏洞發(fā)現(xiàn)頻率日益加快、安全攻擊事件大幅度增加的狀況下，局限于傳統(tǒng)的被動(dòng)（ Reactive）防范策略是非常危險(xiǎn)的。 根據(jù)對(duì)客戶需求的詳細(xì)調(diào)查分析，推出了以客戶價(jià)值為中心，以3S 為 代表 的安 全理 念， 即 SecuritySolution （安 全方 案），SecurityApplication（安全應(yīng)用）， SecurityService（安全服務(wù)）。因此，如何建立一個(gè)高效的現(xiàn)代信息安全體系，日益成為突出的問(wèn)題。我們必須在一個(gè)日趨開(kāi)放的系統(tǒng)平臺(tái)上重新審視銀行的信息安全問(wèn)題。同時(shí)，經(jīng)營(yíng)的集約化和數(shù)據(jù)的集中化趨勢(shì)一方面順應(yīng)了銀行業(yè)務(wù)